Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender dla serwerów
- Microsoft Defender dla serwerów plan 1 lub plan 2
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Ten artykuł zawiera informacje na temat definiowania programów antywirusowych i wykluczeń globalnych dla Ochrona punktu końcowego w usłudze Microsoft Defender. Wykluczenia oprogramowania antywirusowego mają zastosowanie do skanów na żądanie, ochrony w czasie rzeczywistym (RTP) i monitorowania zachowania (BM). Globalne wykluczenia mają zastosowanie do ochrony w czasie rzeczywistym (RTP), monitorowania zachowania (BM) oraz wykrywania i reagowania punktów końcowych (EDR), zatrzymując w ten sposób wszystkie skojarzone wykrycia antywirusowe, alerty EDR i widoczność wykluczonego elementu.
Ważna
Wykluczenia oprogramowania antywirusowego opisane w tym artykule mają zastosowanie tylko do możliwości ochrony antywirusowej, a nie do wykrywania i reagowania na punkty końcowe (EDR). Pliki wykluczone przy użyciu wykluczeń antywirusowych opisanych w tym artykule mogą nadal wyzwalać alerty EDR i inne wykrycia. Globalne wykluczenia opisane w tej sekcji dotyczą funkcji wykrywania i reagowania na programy antywirusowe i punkty końcowe, zatrzymując w ten sposób wszystkie skojarzone zabezpieczenia antywirusowe, alerty EDR i wykrycia. Wykluczenia globalne są obecnie w publicznej wersji zapoznawczej i są dostępne w usłudze Defender dla wersji 101.23092.0012 punktu końcowego lub nowszej, w pierścieniach Wolny testerów i Produkcja. W przypadku wykluczeń EDR skontaktuj się z pomocą techniczną.
Niektóre pliki, foldery, procesy i pliki otwierane przez proces można wykluczyć z usługi Defender for Endpoint w systemie Linux.
Wykluczenia mogą być przydatne, aby uniknąć nieprawidłowych wykryć plików lub oprogramowania, które są unikatowe lub dostosowane do organizacji. Wykluczenia globalne są przydatne w przypadku ograniczania problemów z wydajnością spowodowanych przez usługę Defender for Endpoint w systemie Linux.
Ostrzeżenie
Definiowanie wykluczeń obniża ochronę oferowaną przez usługę Defender for Endpoint w systemie Linux. Należy zawsze oceniać ryzyko związane z implementowaniem wykluczeń i wykluczać tylko pliki, które są pewne, że nie są złośliwe.
Obsługiwane zakresy wykluczeń
Zgodnie z opisem we wcześniejszej sekcji obsługujemy dwa zakresy wykluczeń: wykluczenia antywirusowe (epp) i globalne (global).
Wykluczenia oprogramowania antywirusowego mogą służyć do wykluczania zaufanych plików i procesów z ochrony w czasie rzeczywistym przy zachowaniu widoczności EDR. Globalne wykluczenia są stosowane na poziomie czujnika i wyciszenia zdarzeń zgodnych z warunkami wykluczenia na wczesnym etapie przepływu przed zakończeniem jakiegokolwiek przetwarzania, zatrzymując w ten sposób wszystkie alerty EDR i wykrywanie oprogramowania antywirusowego.
Uwaga
Globalny (global) to nowy zakres wykluczeń, który wprowadzamy oprócz zakresów wykluczeń programu antywirusowego (epp), które są już obsługiwane przez firmę Microsoft.
| Kategoria wykluczenia | Zakres wykluczeń | Opis |
|---|---|---|
| Wykluczenie programu antywirusowego | Aparat antywirusowy (zakres: epp) |
Wyklucza zawartość ze skanowania antywirusowego i skanów na żądanie. |
| Wykluczenie globalne | Wykrywanie oprogramowania antywirusowego i punktu końcowego oraz aparat odpowiedzi (zakres: globalny) |
Wyklucza zdarzenia z ochrony w czasie rzeczywistym i widoczności EDR. Domyślnie nie dotyczy skanowania na żądanie. |
Ważna
Globalne wykluczenia nie mają zastosowania do ochrony sieci, więc alerty generowane przez ochronę sieci będą nadal widoczne.
Aby wykluczyć procesy z ochrony sieci, użyj polecenia mdatp network-protection exclusion
Obsługiwane typy wykluczeń
W poniższej tabeli przedstawiono typy wykluczeń obsługiwane przez usługę Defender for Endpoint w systemie Linux.
| Wykluczenia | Definicja | Przykłady |
|---|---|---|
| Formatem | Wszystkie pliki z rozszerzeniem w dowolnym miejscu na urządzeniu (niedostępne dla wykluczeń globalnych) | .test |
| Plik | Określony plik zidentyfikowany za pomocą pełnej ścieżki | /var/log/test.log/var/log/*.log/var/log/install.?.log |
| Folder | Wszystkie pliki w określonym folderze (cyklicznie) | /var/log//var/*/ |
| Proces | Określony proces (określony przez pełną ścieżkę lub nazwę pliku) i wszystkie otwarte przez niego pliki. Zalecamy używanie pełnej i zaufanej ścieżki uruchamiania procesu. |
/bin/catcatc?t |
Ważna
Używane ścieżki muszą być twardymi łączami, a nie łączami symbolicznymi, aby można je było pomyślnie wykluczyć. Możesz sprawdzić, czy ścieżka jest linkiem symbolicznym, uruchamiając polecenie file <path-name>. Podczas implementowania globalnych wykluczeń procesów wykluczaj tylko to, co jest niezbędne, aby zapewnić niezawodność i bezpieczeństwo systemu. Sprawdź, czy proces jest znany i zaufany, określ pełną ścieżkę do lokalizacji procesu i upewnij się, że proces będzie stale uruchamiany z tej samej zaufanej pełnej ścieżki.
Wykluczenia plików, folderów i procesów obsługują następujące symbole wieloznaczne:
| Symbol wieloznaczny | Opis | Przykłady |
|---|---|---|
| * | Dopasowuje dowolną liczbę znaków, w tym brak (pamiętaj, że jeśli ten symbol wieloznaczny nie jest używany na końcu ścieżki, zastępuje tylko jeden folder) |
/var/*/tmp zawiera dowolny plik i /var/abc/tmp jego podkatalogi oraz /var/def/tmp jego podkatalogi. Nie zawiera /var/abc/log ani /var/def/log
|
| ? | Dopasowuje dowolny pojedynczy znak |
file?.log zawiera file1.log i file2.log, ale niefile123.log |
Uwaga
Symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych. W przypadku wykluczeń programu antywirusowego w przypadku używania symbolu wieloznacznego * na końcu ścieżki jest on zgodny ze wszystkimi plikami i podkatalogami w obszarze nadrzędnym symbolu wieloznacznego. Ścieżka pliku musi być obecna przed dodaniem lub usunięciem wykluczeń plików z zakresem jako globalnym.
Jak skonfigurować listę wykluczeń
Wykluczenia można skonfigurować przy użyciu konfiguracji pliku Json zarządzania, zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint lub wiersza polecenia.
Korzystanie z konsoli zarządzania
W środowiskach przedsiębiorstwa wykluczeniami można również zarządzać za pośrednictwem profilu konfiguracji. Zazwyczaj używasz narzędzia do zarządzania konfiguracją, takiego jak Puppet, Ansible lub innej konsoli zarządzania, aby wypchnąć plik o nazwie mdatp_managed.json w lokalizacji /etc/opt/microsoft/mdatp/managed/. Aby uzyskać więcej informacji, zobacz Ustawianie preferencji dla usługi Defender dla punktu końcowego w systemie Linux. Zapoznaj się z następującym przykładem programu mdatp_managed.json.
{
"exclusionSettings":{
"exclusions":[
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/home/*/git<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedPath",
"isDirectory":true,
"path":"/run<EXAMPLE DO NOT USE>",
"scopes": [
"global"
]
},
{
"$type":"excludedPath",
"isDirectory":false,
"path":"/var/log/system.log<EXAMPLE DO NOT USE><EXCLUDED IN ALL SCENARIOS>",
"scopes": [
"epp", "global"
]
},
{
"$type":"excludedFileExtension",
"extension":".pdf<EXAMPLE DO NOT USE>",
"scopes": [
"epp"
]
},
{
"$type":"excludedFileName",
"name":"/bin/cat<EXAMPLE DO NOT USE><NO SCOPE PROVIDED - GLOBAL CONSIDERED>"
}
],
"mergePolicy":"admin_only"
}
}
Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint
Uwaga
Ta metoda jest obecnie w prywatnej wersji zapoznawczej. Aby włączyć tę funkcję, skontaktuj się z usługą xplatpreviewsupport@microsoft.com. Zapoznaj się z wymaganiami wstępnymi: Wymagania wstępne dotyczące zarządzania ustawieniami zabezpieczeń usługi Defender for Endpoint
Możesz użyć centrum administracyjnego Microsoft Intune lub portalu Microsoft Defender, aby zarządzać wykluczeniami jako zasadami zabezpieczeń punktu końcowego i przypisywać te zasady do grup Tożsamość Microsoft Entra. Jeśli używasz tej metody po raz pierwszy, wykonaj następujące kroki:
1. Konfigurowanie dzierżawy do obsługi zarządzania ustawieniami zabezpieczeń
W portalu Microsoft Defender przejdź do obszaruUstawienia> Zakreswymuszaniazarządzania konfiguracją>punktów końcowych>, a następnie wybierz platformę Systemu Linux.
Otaguj urządzenia tagiem
MDE-Management. Większość urządzeń rejestruje i odbiera zasady w ciągu kilku minut, chociaż niektóre z nich mogą potrwać do 24 godzin. Aby uzyskać więcej informacji, zobacz Dowiedz się, jak używać zasad zabezpieczeń punktu końcowego Intune do zarządzania Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach, które nie są zarejestrowane w Intune.
2. Tworzenie grupy Microsoft Entra
Utwórz dynamiczną grupę Microsoft Entra na podstawie typu systemu operacyjnego, aby zapewnić, że wszystkie urządzenia dołączone do usługi Defender for Endpoint otrzymają odpowiednie zasady. Ta grupa dynamiczna automatycznie obejmuje urządzenia zarządzane przez usługę Defender for Endpoint, eliminując konieczność ręcznego tworzenia nowych zasad przez administratorów. Aby uzyskać więcej informacji, zobacz następujący artykuł: Tworzenie grup Microsoft Entra
3. Tworzenie zasad zabezpieczeń punktu końcowego
W portalu Microsoft Defender przejdź do obszaru Endpoints Configuration managementEndpoint security policies (Zasady zabezpieczeń punktu końcowegozarządzania konfiguracją>punktów końcowych>), a następnie wybierz pozycję Utwórz nowe zasady.
W obszarze Platforma wybierz pozycję Linux.
Wybierz wymagany szablon wykluczeń (
Microsoft defender global exclusions (AV+EDR)w przypadku wykluczeń globalnych iMicrosoft defender antivirus exclusionswykluczeń antywirusowych), a następnie wybierz pozycję Utwórz zasady.Na stronie Podstawowe wprowadź nazwę i opis dla profilu, a następnie wybierz pozycję Dalej.
Na stronie Ustawienia rozwiń każdą grupę ustawień i skonfiguruj ustawienia, które chcesz zarządzać przy użyciu tego profilu.
Po zakończeniu konfigurowania ustawień wybierz pozycję Dalej.
Na stronie Przypisania wybierz grupy, które otrzymują ten profil. Następnie wybierz pozycję Dalej.
Po zakończeniu na stronie Przeglądanie i tworzenie wybierz pozycję Zapisz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.
Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami zabezpieczeń punktu końcowego w Ochrona punktu końcowego w usłudze Microsoft Defender.
Korzystanie z wiersza polecenia
Uruchom następujące polecenie, aby wyświetlić dostępne przełączniki do zarządzania wykluczeniami:
mdatp exclusion
Uwaga
--scope to opcjonalna flaga z akceptowaną wartością jako epp lub global. Zapewnia ten sam zakres używany podczas dodawania wykluczenia w celu usunięcia tego samego wykluczenia. W podejściu wiersza polecenia, jeśli zakres nie jest wymieniony, wartość zakresu jest ustawiona jako epp.
Wykluczenia dodane za pośrednictwem interfejsu --scope wiersza polecenia przed wprowadzeniem flagi pozostają nienaruszone, a ich zakres jest traktowany jako epp.
Porada
Podczas konfigurowania wykluczeń przy użyciu symboli wieloznacznych umieść parametr w cudzysłowie, aby zapobiec globbingowi.
Ta sekcja zawiera kilka przykładów.
Przykład 1: Dodawanie wykluczenia dla rozszerzenia pliku
Możesz dodać wykluczenie dla rozszerzenia pliku. Należy pamiętać, że wykluczenia rozszerzeń nie są obsługiwane dla zakresu wykluczenia globalnego.
mdatp exclusion extension add --name .txt
Extension exclusion configured successfully
mdatp exclusion extension remove --name .txt
Extension exclusion removed successfully
Przykład 2: Dodawanie lub usuwanie wykluczenia pliku
Możesz dodać lub usunąć wykluczenie dla pliku. Ścieżka pliku powinna już istnieć, jeśli dodajesz lub usuwasz wykluczenie z zakresem globalnym.
mdatp exclusion file add --path /var/log/dummy.log --scope epp
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope epp
File exclusion removed successfully"
mdatp exclusion file add --path /var/log/dummy.log --scope global
File exclusion configured successfully
mdatp exclusion file remove --path /var/log/dummy.log --scope global
File exclusion removed successfully"
Przykład 3. Dodawanie lub usuwanie wykluczenia folderu
Możesz dodać lub usunąć wykluczenie dla folderu.
mdatp exclusion folder add --path /var/log/ --scope epp
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope epp
Folder exclusion removed successfully
mdatp exclusion folder add --path /var/log/ --scope global
Folder exclusion configured successfully
mdatp exclusion folder remove --path /var/log/ --scope global
Folder exclusion removed successfully
Przykład 4. Dodawanie wykluczenia dla drugiego folderu
Możesz dodać wykluczenie dla drugiego folderu.
mdatp exclusion folder add --path /var/log/ --scope epp
mdatp exclusion folder add --path /other/folder --scope global
Folder exclusion configured successfully
Przykład 5. Dodawanie wykluczenia folderu z symbolem wieloznacznym
Możesz dodać wykluczenie dla folderu z symbolem wieloznacznym. Pamiętaj, że symbole wieloznaczne nie są obsługiwane podczas konfigurowania wykluczeń globalnych.
mdatp exclusion folder add --path "/var/*/tmp"
Poprzednie polecenie wyklucza ścieżki w obszarze */var/*/tmp/*, ale nie foldery, które są elementami równorzędnych .*tmp* Na przykład */var/this-subfolder/tmp* jest wykluczone, ale */var/this-subfolder/log* nie jest wykluczone.
mdatp exclusion folder add --path "/var/" --scope epp
LUB
mdatp exclusion folder add --path "/var/*/" --scope epp
Poprzednie polecenie wyklucza wszystkie ścieżki, których elementem nadrzędnym jest */var/*, na przykład */var/this-subfolder/and-this-subfolder-as-well*.
Folder exclusion configured successfully
Przykład 6. Dodawanie wykluczenia dla procesu
Możesz dodać wykluczenie dla procesu.
mdatp exclusion process add --path /usr/bin/cat --scope global
Process exclusion configured successfully
mdatp exclusion process remove --path /usr/bin/cat --scope global
Uwaga
Tylko pełna ścieżka jest obsługiwana w przypadku ustawiania wykluczenia procesu z zakresem global .
Użyj tylko --path flagi
Process exclusion removed successfully
mdatp exclusion process add --name cat --scope epp
Process exclusion configured successfully
mdatp exclusion process remove --name cat --scope epp
Process exclusion removed successfully
Przykład 7. Dodawanie wykluczenia dla drugiego procesu
Możesz dodać wykluczenie dla drugiego procesu.
mdatp exclusion process add --name cat --scope epp
mdatp exclusion process add --path /usr/bin/dog --scope global
Process exclusion configured successfully
Weryfikowanie list wykluczeń przy użyciu pliku testowego EICAR
Możesz sprawdzić, czy listy wykluczeń działają, pobierając plik testowy za pomocą polecenia curl .
W poniższym fragmencie kodu powłoki Bash zastąp test.txt ciąg plikiem zgodnym z regułami wykluczeń. Jeśli na przykład wykluczono rozszerzenie, zastąp .testing ciąg test.txttest.testing. Jeśli testujesz ścieżkę, upewnij się, że uruchamiasz polecenie w tej ścieżce.
curl -o test.txt https://secure.eicar.org/eicar.com.txt
Jeśli usługa Defender for Endpoint w systemie Linux zgłasza złośliwe oprogramowanie, reguła nie działa. Jeśli nie ma raportu o złośliwym oprogramowaniu i pobrany plik istnieje, wykluczenie działa. Możesz otworzyć plik, aby potwierdzić, że zawartość jest taka sama jak opisana w witrynie internetowej pliku testowego EICAR.
Jeśli nie masz dostępu do Internetu, możesz utworzyć własny plik testowy EICAR. Zapisz ciąg EICAR w nowym pliku tekstowym za pomocą następującego polecenia powłoki Bash:
echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt
Możesz również skopiować ciąg do pustego pliku tekstowego i spróbować go zapisać przy użyciu nazwy pliku lub folderu, który próbujesz wykluczyć.
Zezwalaj na zagrożenie
Oprócz wykluczania pewnej zawartości ze skanowania można również skonfigurować usługę Defender for Endpoint w systemie Linux, aby nie wykrywać niektórych klas zagrożeń identyfikowanych przez nazwę zagrożenia.
Ostrzeżenie
Zachowaj ostrożność podczas korzystania z tej funkcji, ponieważ może pozostawić urządzenie bez ochrony.
Aby dodać nazwę zagrożenia do listy dozwolonych, uruchom następujące polecenie:
mdatp threat allowed add --name [threat-name]
Aby uzyskać nazwę wykrytego zagrożenia, uruchom następujące polecenie:
mdatp threat list
Aby na przykład dodać element EICAR-Test-File (not a virus) do listy dozwolonych, uruchom następujące polecenie:
mdatp threat allowed add --name "EICAR-Test-File (not a virus)"
Zobacz też
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.